Presentation laddar. Vänta.

Presentation laddar. Vänta.

Var god starta presentationen i visningsläge!

Liknande presentationer


En presentation över ämnet: "Var god starta presentationen i visningsläge!"— Presentationens avskrift:

1 Var god starta presentationen i visningsläge!
Välkommen till FSPOS interaktiva utbildning Kontinuitetshantering i praktiken Var god starta presentationen i visningsläge! Starta utbildningen I de fall material från denna utbildning används eller visas i andra sammanhang ska källhänvisning göras enligt följande: FSPOS Interaktiva utbildning - Kontinuitetshantering i praktiken (2017). Vid eventuella frågor om utbildningen, kontakta FSPOS via

2 Anvisningar till materialet
Materialet har tagits fram av FSPOS Fokusgrupp Kontinuitetshantering och är ett komplement till FSPOS Vägledning för Kontinuitetshantering, med tillhörande utbildningar Kontinuitetshantering i praktiken. Innehållet ger en grundläggande beskrivning av vad kontinuitetshantering är och redogör för det huvudsakliga moment och aktiviteter som utgör god praxis för utveckling, implementering och uppföljning av kontinuitetsarbetet. För ytterligare beskrivningar och fördjupningar, se vägledningen på Målgruppen för materialet är personal som är relativt nya i arbetet med kontinuitetshantering eller behöver introduceras till området. Materialet kan därmed användas för personer som ges ett nytt ansvar inom kontinuitetshantering eller vid kunskapshöjande aktiviteter i andra delar av organisationen, exempelvis för organisationens ledning.  Målsättningen är att materialet ska kunna utgöra ett underlag för att skapa medvetenhet om kontinuitetshantering inom organisationen. Materialet kan användas som ett direkt stöd till personer som genomför aktiviteter inom ramen för sin organisations kontinuitetsarbete. Tillbaka Fortsätt

3 Anvisningar till materialet
Fingret uppmärksammar dig om interaktiva delar i bilden, dvs. var i bilden du kan klicka för att få en ytterligare beskrivning Klicka på krysset om du vill stänga en informationsruta Översikten av processen för kontinuitetshantering återkommer när ett nytt avsnitt inleds. I bildernas överkant markeras var i processen vi befinner oss Varje avsnitt inleds med en översikt. Klicka på ikonerna för svar på frågorna: Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? Klicka på rutan i bildens nederkant om du närsomhelst vill återvända till huvudmenyn Navigera till föregående eller nästkommande bild genom att klicka på pilarna i bildens nederkant Klicka på rutan ”fler tips”, för en ytterligare komplettering Tillbaka Fortsätt

4 Översikt och huvudmeny
1. Introduktion till kontinuitetshantering Rekommenderat är att följa den numrerade ordningen, som följer arbetsprocessen för kontinuitetshantering. Vill du hellre hoppa till ett annat avsnitt så klickar du på vald del i diagrammet 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 1. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 1. Introduktion till kontinuitetshantering 7. Utbildningsquiz

5 Behovet av kontinuitetshantering i den finansiella sektorn
Kontinuitetshantering är viktigt för alla aktörer i den finansiella sektorn, då arbetet handlar om att skydda organisationen och dess intressenter, rykte, varumärke och värdeskapande aktiviteter. Finansiella Sektorns Privat-Offentliga Samverkan (FSPOS) arbetar för att stärka den finansiella infrastrukturen där detta utbildningsmaterial och framtagna vägledningar utgör delar av arbetet. FSPOS inkluderar medlemmar från både offentlig och privat sektor. Verksamheten inom FSPOS bygger på frivilligt arbete bland deltagarna. ? Förenklat kan kontinuitetshantering beskrivas som en process som skapar en robusthet i organisationen för att säkerställa att den affärskritiska verksamheten kan drivas på en tolerabel nivå, oavsett vilka störningar som inträffar. ! Olika externa krav ställs också på att finansiella aktörer ska arbeta med kontinuitetshantering. I vissa fall är inriktningen obligatorisk, medan den i andra fall utgör rekommendationer. Arbetet med kontinuitetshantering är därför även en efterlevnadsfråga. Tillbaka Fortsätt

6 Det finns ett flertal definitioner av kontinuitetshantering; bland annat från den internationella standarden ISO och den förenklade beskrivningen nedan. Definition enligt ISO 22301 Förenklad beskrivning ”Holistisk ledningsprocess som identifierar potentiella hot mot en organisation och den inverkan på verksamheten som dessa hot skulle kunna medföra om hoten blir verklighet och som ger ett ramverk för att utforma en anpassningsbar organisation med förmåga till en effektiv reaktion som tryggar anseende, varumärke, värdeskapande aktiviteter och de viktigaste intressenternas intressen.” Den process som säkerställer att organisationen kan driva den affärskritiska verksamheten på en tolerabel nivå, oavsett vilka störningar som inträffar Alla delar av verksamheten kan inte inkluderas. Vi måste besluta vad som är KRITISKT för att verksamheten ska fungera. Den tolerabla nivån beslutar vi också om genom ett medvetet risktagande! Tillbaka Fortsätt Gå till huvudmeny

7 Nyttan med kontinuitetshantering kan ses utifrån verksamhetens förmåga att möta oanade händelser och förmågan att upprätthålla verksamheten när en störning inträffat. Återhämtning med kontinuitetshantering Återhämtning utan kontinuitetshantering 100% Utan kontinuitetshantering kan organisationer återhämta en förlorad operativ nivå vid avbrott, även om det sker mindre effektivt än om organisationen arbetar med kontinuitetshantering. Resurser som blivit otillgängliga vid avbrottet, t.ex. kritiska system, personal eller verksamhetslokaler kan åter tas i drift eller ersättas efter en tid. Med kontinuitetshantering kan det främst två effekter uppnås, genom t.ex. reservrutiner eller redundans i form av dubblering av kritiska resurser. Konsekvenserna som organisationen drabbas av i händelse av en störning minskar, dels genom att minimera störningens påverkan på den operativa nivån, och dels genom att korta ner avbrottstiden. OPERATIV NIVÅ Vid incidenter kan organisationens operativa nivå falla till en nivå under det normala. Nyttan med kontinuitetshantering kan beskrivas genom den effekt arbetet kan få på organisationens förmåga att upprätthålla verksamheten. Reducera avbrottstid Reducera initial effekt TID Tillbaka Fortsätt Gå till huvudmeny

8 I tillägg till förmågan att upprätthålla verksamheten under en pågående störning finns en rad andra nyttor att framhålla. Nedan illustrerade nyttor har lyfts fram vid en årlig enkätstudie som genomförs av Business Continuity Institute. Kontinuitetshantering ger en ökad förståelse för risker, beroenden och sårbarheter inte bara de som riskerar kritiska processer utan även utgör hot mot t.ex. strategiska mål eller mot organisationens rykte och förtroende. Kontinuitetshantering ger gemensamma utgångs-punkter i organisationen, tex. gällande riskacceptans, kritiska processer och kritiska resurser Kontinuitetshantering kan ge minskad påverkan på ekonomi vid incidenter – genom minskade kostnader, optimering av investeringar i robusthetshöjande åtgärder och lägre försäkringspremier Kontinuitetshantering kan bidra till ett minskat antal incidenter och en säkrare arbetsmiljö, t.ex. när säkerhetsrisker förebyggs eller hanteras mer effektivt. En stärkt förmåga med stöd av kontinuitetshantering kan innebära konkurrens-fördelar, t.ex. genom att kunder vinns över från konkurrenter som inte arbetar med kontinuitetshantering Kontinuitetshantering kan genom upprättande av lämpliga strategier och avtal ge tydligare kravställning på leverantörer och skapa en robust leverantörskedja, t.ex. mot leverantörer av IT. Kontinuitetshantering medför ofta efterlevnad av lagar, regler, avtal och krav som direkt eller indirekt ställer krav på förmågan att upprätthålla verksamheten Även om det övergripande målet med kontinuitetshantering är att minska konsekvenserna av avbrott och avbrottstiderna så kan kontinuitets-hantering även innebära stärkt uppfyllnad av ett stort antal andra mål som satts upp Minska antal incidenter Ekonomiska besparingar Kravställning mot leverantörer Förstå beroenden och sårbarheter Efterlevnad Gemensam utgångspunkt Konkurrensfördel Källa: ”Weathering the Storm – Business Continuity Management Survey”, 2013, Chartered Management Institute (CMI), Business Continuity Institute (BCI), Civil Contingencies Secretariat of the UK Cabinet Office and British Standards Institute (BSI) Tillbaka Fortsätt Gå till huvudmeny

9 Nyttan med kontinuitetshantering får ofta olika uttryck från fall till fall. Nedanstående exempel påvisar viktiga kontinuitetsfrågor att beakta och nyttan av att hantera dem effektivt. Kartlagda och standardiserade processer ger goda förutsättningar för kontinuitet Tänk på och planera för personberoenden En kontinuitetsmedveten organisationskultur gör stor skillnad Säkerställ kontinuitet för beroenden till leverantörer (av IT, m.m.) Planera för och öva byte av lokal En kontinuitetsmedveten organisationskultur gör stor skillnad Två konkurrenter använde samma leverantör av en liten men kritisk teknisk kompentent till sina produkter. När en olycka inträffade i leverantörens fabrik, så stannade produktionen helt, men de två konkurrenterna agerade olika. Den ena hade en kontinuitetsmedveten organisationskultur och handlade snabbt, skrev avtal med leverantören att produktion från andra anläggningar skulle tillägnas dem, högsta ledningen bokade möte med leverantörens högsta ledning, designade om sin produkt så att man kunde köpa komponenter från andra aktörer. Konkurrenten gjorde motsatsen – dvs agerade långsamt, var inaktiv, och förlorade marknadsandelar till sin konkurrent. Säkerställ kontinuitet för beroenden till leverantörer (av IT, m.m.) Ett större haveri inträffade hos en marknadsledande leverantör av IT-tjänster, och drabbade organisationer, privata och offentliga, i flera sektorer. Många av de drabbade saknade kontinuitetslösningar för att hantera avbrottet och flera uppmärksammades på att man saknade förståelse för leverantörens egen kontinuitetshantering och vilka garantier som gavs i gällande avtal. Exemplet belyser vikten av IT-beroenden och hur sårbart det är att förlita sig på en leverantör. Alternativa, ibland manuella, reservrutiner kan ibland behöva upprättas och den avtalsmässiga kravställningen mot leverantörer behöver motsvara organisationens krav på kontinuitet. Tänk på och planera för personberoenden Ett företag skickade en hel avdelning på konferens, med specialister på ett företagets områden. Konferensen ägde rum på en färja som sjönk och många omkom. Endast en man överlevde från företagets avdelning. En stor del av kunskapen och kompetensen inom området försvann med de omkomna. Exemplet belyser vikten av att sprida kunskaper och inte förlita sig på nyckelkompetens. Inom kontinuitetshantering identifieras personberoenden och åtgärder och planer utvecklas för att säkerställa kontinuitet. Planera för och öva byte av lokal Ett företag med kontor i en skyskrapa identifierade brister i sin kontinuitetshantering när ett attentat mot byggnaden ledde till evakuering. Företaget uppmärksammade att reservarbetsplatser saknades och att evakueringen tog för lång tid, och genomförde åtgärder för att komma tillrätta med bristerna. När ett andra attentat senare inträffade, kunde företaget utrymma byggnaden och byta till andra lokaler snabbare, tack vare god kontinuitetsplanering och övning. Kartlagda och standardiserade processer ger goda förutsättningar för kontinuitet Personalen hos ett globalt transportföretag kunde inte ta sig med bil flygplatsen i en stad som drabbats av snöstorm. Utan personal att packa och dirigera paket, så riskerades verksamheten att paralyseras, trots att startbanorna rensades på snö. Företaget hade som tur var tydligt kartlagda och standardiserade processer. De enhetliga arbetsprocesserna gjorde det möjligt att flyga in anställda från andra orter. Tillbaka Fortsätt Gå till huvudmeny

10 Kontinuitetshantering
Kontinuitetshantering är närbesläktad med andra områden som handlar de om att förbygga störningar och hantera inträffade händelser så att de inte utvecklas i oönskad riktning. Krishantering är den process som säkerställer att det finns en organisation (krisledning) samt fastställda rutiner för hantering av en krishändelse. Krishantering ska även förhindra att händelser utvecklas till en katastrof (där egna organisationen inte räcker till). Krishanteringen har en nära koppling till kontinuitetshantering genom att krisledningen i varje kris bör beakta hur den kritiska verksamheten påverkas och om kontinuitetsplaner har aktiverats eller behöver aktiveras. Kontinuitetshantering är ett arbetssätt som ska hantera även den typ av händelser som inte kan förutses av olika anledningar, men som kan få stora konsekvenser för organisationen, exempelvis utvecklas till en kris eller katastrof. Detta sker genom att identifiera de kritiska delarna av verksamheten (istället för hotet/orsaken) och därefter arbeta för att skapa robusthet i dessa delar. Riskhantering fokuserar på ett bredare urval av risker än kontinuitetshantering och en vanlig utgångspunkt i riskhantering är att identifiera potentiella händelser/hot och därefter analysera deras sannolikhet och konsekvens. Risk- och kontinuitetshantering har en nära koppling och bör koordineras noga. Organisationens riskacceptans, den risknivå som man är villig att acceptera, bör vara konsekvent mellan risk- och kontinuitets-hanteringsarbetet. Incidenthantering syftar till att förebygga att oönskade händelser utvecklas till incidenter. Med incidenter menas händelser som ännu inte utmynnat i allvarliga avbrott eller kriser. Arbetet kan omfatta bl.a. upprättande av tydliga rutiner för larm och eskalering, samt en enhetlig analysmetodik. Incidenter kan vara mindre avbrott eller ”near-misses” som hanteras i det ordinarie arbetet och som inte kräver stöd av krisledning eller kontinuitetsplaner. Kontinuitetshantering En vanlig frågeställning kring kontinuitetshantering är hur den förhåller sig till angränsande områden såsom incident-, risk- och krishantering. Områdena har delvis olika fokus och angreppssätt, vilket kräver olika metoder och kompetenser. Utgångspunkten bör dock vara att incident-, risk, kris- och kontinuitetshantering betraktas som skilda men kompletterande områden och arbetet bör därför inte utföras i stuprör. Incidenthantering Händelse Incident Kris Katastrof Riskhantering Krishantering Tillbaka Fortsätt Gå till huvudmeny

11    Exempel: Brand på huvudkontoret
Organisationer bör arbeta med såväl incident-, kris-, risk- som kontinuitetshantering i förebyggande syfte, det vill säga med avsikt att undvika oönskade händelser. Områdena skiljer sig dock åt avseende utgångspunkt och angreppssätt, vilket kan illustreras med nedanstående exempel. Exempel: Brand på huvudkontoret Kontinuitetshantering är ett kompletterande arbetssätt som ska hantera även den typ av händelser som inte kan förutses av olika anledningar, men som kan få stora konsekvenser för organisationen. Kontinuitetshantering hanterar risken för brand genom att identifiera kontoret som en kritisk resurs och genom att skapa reservlösningar, såsom ett alternativt kontor, i händelse att det ordinarie huvudkontoret blir otillgängligt (på grund av brand eller av andra orsaker) Kontinuitets-hantering Riskhantering Krishantering Riskhantering handlar om att hantera osäkerheter genom att systematiskt identifiera, analysera, utvärdera och behandla de risker som påverkar organisationens mål. I relation till brand på huvudkontoret, så kan riskhantering hjälpa organisationen med lösningar som specifikt riktar sig mot att förebygga eller hantera brand, t.ex. brandsläckare eller åskledare. Krishanteringen används när övriga områden inte räcker till, genom att en särskild organisation, med särskilda kompetenser, mandat och rutiner, behöver sätts in. Krishanteringen hanterar branden på huvudkontoret genom att krisledningen aktiveras och krisplanens rutiner och stöd nyttjas. Tillbaka Fortsätt Gå till huvudmeny

12 Förutom FSPOS vägledning, finns ett stort antal stöd och föreskrifter inom kontinuitetshantering, som påverkar eller kan hjälpa finansiella aktörer Finansinspektionen gav 2014 ut föreskrifter och allmänna råd om hantering av operativa risker (FFFS 2014:4) och om styrning, riskhantering och kontroll (FFFS 2014:1) i kreditinstitut. Dessa föreskrifter berör vissa aktörer i den finansiella sektorn. I föreskrifterna noteras att bland annat berörda aktörer ska ha ”en väl fungerande kontinuitetshantering för att säkerställa att dess viktigaste information och funktioner bevaras samt att dess verksamhet upprätthålls vid ett avbrott eller en större verksamhetsstörning”. Föreskrifterna ställer även krav på att kontinuitetsplaner finns upprättade och att planerna testas regelbundet För så kallade Financial Market Infrastructures (FMI), som faciliterar clearing, avveckling och registrering av ekonomiska och andra finansiella transaktioner, har CPMI/IOSCO fastställt principer som bland annat ställer krav på kontinuitetsplaner. Planerna ska behandla händelser som utgör en betydande risk för större avbrott och ska även omfatta användning av en sekundär site samt att kritiska IT-system kan återuppta verksamheten inom två timmar efter avbrott. Planen bör utformas så att organisationen kan fullfölja avvecklingen vid slutet av dagen, även vid extrema omständigheter. För myndigheter under regeringen ger Myndigheten för samhällsskydd och beredskap (MSB) allmänna råd om att kontinuitetsplaner för informationsförsörjningen bör upprättas, samt att planerna bör hållas uppdaterade och övas så att de blir ett naturligt inslag i ledning av informationssäkerhetsarbetet. MSB nämner också i sin Vägledning för samhällsviktig verksamhet att kontinuitetshantering utgör en viktig del av ett systematiskt säkerhetsarbete, inom ramen för identifiering och skyddande av samhällsviktig verksamhet. Krav på kontinuitetshantering hos kredit- och värdepappersinstitut finns i EBA:s (European Banking Authority) riktlinjer gällande intern styrning och kontroll (GL 44). Där ställs bland annat krav på att instituten ska upprätta kontinuitetshantering, inklusive framtagande av kontinuitetsplaner, för att säkerställa sin förmåga att upprätthålla verksamheten och begränsa förluster vid allvarliga störningar. Internationella standarder bidrar med en enhetlig och allmänt accepterad process, principer och terminologi. Sedan 2012 finns en internationell standard för kontinuitetshantering, ISO 22301, som beskriver kraven på god kontinuitetshantering. ISO från 2013 beskriver något mer konkreta riktlinjer kring genomförandet. Ytterligare en standard innehåller riktlinjer kring kontinuitetshantering, kopplat till IT- och kommunikationsteknologi, ISO/IEC från 2011. Många av sektorns aktörer arbetar helt eller delvis enligt den brittiska standarden BS 25999, som utvecklades ISO-standarderna som kommit senare överensstämmer i stor utsträckning med BS 25999, även om vissa skillnader finns. ISO och ISO lägger exempelvis ett större fokus på att organisationens kontext, den miljö och de förutsättningar som påverkar organisationen, finns tydligt beskrivna. En relativt större vikt läggs i ISO även på att organisationens ledning kommunicerar sitt engagemang för kontinuitetshanteringen, bland annat genom en tydlig policy. Initiativ har tagits för att konkretisera standardernas innehåll till mer praktiskt stöd, såsom Good Practice Guidelines 2013 (GPG) från brittiska Business Continuity Institute. GPG är inte anpassad för någon särskild sektor och innehåller inte exempelmallar och konkreta exempel i någon större utsträckning. FSPOS vägledning har hämtat viss inspiration från GPG. För försäkrings- och återförsäkringsorganisationer ställer Solvency II krav på att bolaget vidtar rimliga åtgärder för att säkerställa kontinuitet i verksamheten. Detta innebär som minst att organisationen upprättar system, resurser och rutiner för kontinuitetshantering, samt att kontinuitetsplaner utvecklas. Tillbaka Fortsätt Gå till huvudmeny

13        Analys av verksamheten BCM BIA BCP MAO MTPD RTO RPO
Inom kontinuitetshantering finns en rik begreppsflora, på både engelska och svenska. I detta utbildningsmaterialet används de svenska begreppen genomgående, men nedan ges även en översikt av de engelska begreppen och dess betydelse. BCM Business Continuity Management BIA Business Impact Analysis BCP Business continuity plan MAO Maximum acceptable outage MTPD Maximum Tolerable Period of Disruption RTO Recovery Time Objective RPO Recovery Point Objective MAO – Maximum acceptable outage (Maximalt acceptabel avbrottstid) Tid det skulle ta för en negativ inverkan, som skulle kunna uppkomma som ett resultat av att inte tillhandahålla vara/tjänst eller utföra en aktivitet, att bli oacceptabel. Fastställs med hjälp av organisationens kriteriemodell. Omnämns även ofta som MTPD (Maximum Tolerable Period of Disruption). MTPD - Maximum Tolerable Period of Disruption (sv: Maximalt tolerabel avbrottsperiod) Tid det skulle ta för en negativ inverkan, som skulle kunna uppkomma som ett resultat av att inte tillhandahålla vara/tjänst eller utföra en aktivitet, att bli oacceptabel. Fastställs med hjälp av organisationens kriteriemodell. Omnämns även ofta som MAO (Maximum Acceptable Outage). BCM – Business continuity management (sv: kontinuitetshantering) Holistisk ledningsprocess som identifierar potentiella hot mot en organisation och den inverkan på verksamheten som dessa hot skulle kunna medföra om hoten blir verklighet och som ger ett ramverk för att utforma en anpassningsbar organisation med förmåga till en effektiv reaktion som tryggar anseende, varumärke, värdeskapande aktiviteter och de viktigaste intressenternas intressens. BIA – Business impact analysis (sv: konsekvensanalys) Process för analys av verksamhet och den effekt som ett avbrott skulle kunna ha på verksamheten. I analysen bryts kritiska processer ned i kritiska aktiviteter, samt interna och externa beroenden. Avslutningsvis genomförs en riskbedömning med fokus på kontinuiteten i kritiska processer RPO - Recovery Point Objective (sv: Mål för återställningspunkt) Punkt till vilken det är nödvändigt att återställa den information som används av en aktivitet, för att göra det möjligt för aktiviteten att fungera efter återställning BCP - Business continuity plan (sv: Kontinuitetsplan) Dokumenterade rutiner som vägleder en organisation att efter avbrott reagera, återställa och återuppta verksamheten i en i förväg definierad omfattning RTO - Recovery Time Objective (sv: Mål för återställningstid) Tid efter en incident inom vilken det är nödvändigt att en resurs återställs. En RTO för en kritisk resurs ges av den kortaste MTPD (maximalt tolerabel avbrottsperiod) av de kritiska aktiviteter som resursen stödjer. Inom kontinuitetshantering finns ett stort antal begrepp, inte sällan uttryckta på engelska och som förkortningar. Några av de vanligare återges ovan Tillbaka Fortsätt Gå till huvudmeny

14 3. Analys av verksamheten 4. Kontinuitetsstrategi
2. Styrande dokument 1. Introduktion till kontinuitetshantering 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 2. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 2. Styrande dokument 7. Utbildningsquiz

15 Varför gör vi detta steg?
Styrande dokument Varför gör vi detta steg? HUR GÖR VI DETTA STEG? Styrande dokument beslutas av organisationens ledning. Utveckling av styrande dokument kan dock med fördel ledas av någon på mer taktisk nivå, t.ex. kontinuitetsansvarig eller motsvarande. Delar av innehållet kan gynnas av eller kräva arbetsmöten eller workshops med ytterligare personer, t.ex. gällande utveckling av organisationens kriteriemodell och fastställande av riskacceptans. VAD GÖR VI I DETTA STEG? I steget utvecklas ett eller flera styrande dokumentet, som kan kallas policy, men som även innefatta begreppen riktlinje eller instruktion Styrande dokument bör bland annat specificera följande för kontinuitetshanteringsarbetet Introduktion till området och centrala begrepp Beskrivning av organisationens kontext Ansvar och roller Metoder och rutiner Riskacceptans i form av en kriteriemodell VARFÖR GÖR VI DETTA STEG? Styrande dokument preciserar vad kontinuitetshanteringen innefattar inriktning om hur arbetet med kontinuitetshantering ska kunna utvecklas, implementeras, följas upp och hållas levande Syftet är att etablera och upprätthålla en ändamålsenlig och relevant kontinuitetshantering som är anpassad till den egna organisationen Vad gör vi i detta steg? Hur gör vi detta steg? Tillbaka Fortsätt Gå till huvudmeny

16 Organisationens kontext
Styrande dokument Interna faktorer kan utgöras bland annat av vilka värdeskapande produkter och tjänster som organisationen levererar, hur kontinuitetshanteringsarbetet organiseras samt vilka mål, policys och rutiner man har för verksamheten i övrigt. Externa faktorer kan utgöras av drivkrafter och förväntningar från intressenter såsom kunder, partners, leverantörer och distributörer. Även organisationens makro-miljö bör tillgodoses, såsom sociala, ekonomiska, tekniska, eller politiska omständigheter. Lagar och regler Kunder Leverantörer Produkter & Tjänster TIPS FÖR GENOMFÖRANDE För att skapa en tydligare bild över dessa faktorer kan en mer detaljerad kartläggning göras över organisationens intressenter och dess förväntningar. Intressenternas förväntningar kan se olika ut för normalläge och vid ett avbrott och det kan därför finnas anledning att belysa förväntningarna i båda dessa lägen. Vid kartläggningen kan en prioritering göras för att tydliggöra vilka intressenter som är särskilt styrande för organisationen. Partners Organisationens kontext Strategiska riktlinjer, policys och rutiner Distributörer Organisationens kontext är en central utgångspunkt för kontinuitetsarbetet och förklarar hur och varför kontinuitetshantering är viktigt för organisationen. Kontexten kan beskrivas i en inledande översikt av policyn. Kontexten kan beskrivas i form av vilka interna och externa faktorer som påverkar dess mål och därigenom ställer krav på kontinuitetshantering. Inom standarden ISO redogörs för en rad faktorer som kan påverka kontexten. Organisationsstruktur Sociala faktorer Tekniska faktorer Ekonomiska faktorer Politiska faktorer Krav på kontinuitetshantering Tillbaka Fortsätt Gå till huvudmeny Fler tips 

17       Policy TIPS FÖR GENOMFÖRANDE
Styrande dokument Detta dokument beskriver omfattningen av kontinuitetshantering som drivs av Kontinuitetshanteringen inom [Organisationen] har anpassats till den internationella standarden Samhällssäkerhet - Ledningssystem för kontinuitet - Krav (ISO 22301:2012). Kontinuitetshanteringen omfattar Dessa tjänster levereras från De kritiska processer som omfattas inom kontinuitetshanteringen är Kontinuitetshanteringen inkluderar alla av.  aktiviteter samt interna och externa resurser som dessa kritiska processer är beroende Detta avgränsningsdokument utfärdades den [xx MÅNAD XXXX] och kommer att ses över senast den Undertecknat för [Organisationens] räkning: Namnförtydligande: [Förnamn, Efternamn, Befattning] Datum: [xx MÅNAD XXXX] TIPS FÖR GENOMFÖRANDE Organisationen bör hitta en lämplig metod för att prioritera vilka delar av organisationen som ska ingå i kontinuitetshanteringen. Exempelvis kan olika typer av kostnad-nytta-analyser, SWOT-analys, analys av finansiell planering. Sätt rimliga mål och förväntningar – börja med en snäv avgränsning av vad som inkluderas i kontinuitetshanteringen för att därefter komplettera och bygga upp en mer heltäckande hantering. Säkerställ att avgränsningen stäms av med och beslutas av verksamhetens ledningen. Motivera vid behov varför vissa verksamhetsdelar eventuellt har uteslutits (produkt/tjänst/process som väntas utgå eller ändras avsevärt, alternativt inte är kritisk för organisationen. En avgränsning kan med fördel göras utifrån processer, som exempelvis utförs för att leverera produkterna eller tjänsterna eller som är kritiska interna processer. Nyttan med att göra denna avgränsning visar sig tydligt i efterföljande analysarbete, där bland annat de kritiska processerna bryts ned i aktiviteter och där kritiska beroenden identifieras. Det kan göras en organisatorisk eller geografisk avgränsning, där vissa regioner eller länder inkluderas. Samtidigt bör arbetet inte utelämna en avdelning eller enhet som är kritisk för en produkt eller tjänst som inkluderats i arbetet. Den avgränsning som beslutats bör ses över och revideras löpande, exempelvis en gång om året. Samtidigt kan omständigheter motivera att detta sker tidigare än den årliga genomgången, exempelvis om organisationens inställning till risk eller marknadsvillkoren ändras. Andra sådana faktorer kan vara att produkter eller tjänster tillkommer eller avslutas, eller att nya lagkrav eller riktlinjer uppkommer. Det bör framgå i avgränsningen vilken organisation som avses, särskilt om organisationen består av flera bolag eller om vissa delar av organisationen inte berörs av kontinuitetsarbetet. Vissa avdelningar eller enheter kanske exkluderas, antingen för att de är mindre kritiska eller för att de täcks in senare, när arbetet utvecklats till en större mognad. I många fall gäller dock avgränsningen i styrande dokument för hela organisationen. En avgränsning kan göras baserat på kritiska tjänster och/eller produkter. Särskilda produkter eller tjänster är exempelvis särskilt tidskritiska eller genererar en stor andel av organisationens inkomster, alternativt att de anses samhällsviktiga. [Organisationen] Policy Avgränsning är en viktig del av kontinuitethanteringen, där det tydligt bör klargöras vilka delar av verksamheten som ska omfattas. Avgränsningen förutsätter att organisationen har en tydlig bild av kontexten den verkar inom och vad som är mest kritiskt i verksamheten, dvs. den affärskritiska verksamheten som behöver drivas på en tolerabel nivå, oavsett vilka störningar som inträffar [tjänsterna X, Y och Z] [orterna X, Y och X] [PROCESS A, B, C] [xx MÅNAD XXXX] Tillbaka Fortsätt Gå till huvudmeny Fler tips 

18    TIPS FÖR GENOMFÖRANDE
Styrande dokument Den taktiska nivån utgör kompetenscentra avseende kontinuitetshanteringen. Den taktiska nivån består av en person med det övergripande ansvaret för att stödja det arbete med kontinuitetshantering som bedrivs i verksamheten. Ansvar delegeras bland annat avseende utveckling av övningsprogram samt program för utbildning och medvetenhet. Den taktiska nivån leder verksamhetens arbete med de olika stegen, utvecklar och underhåller relevanta mallar och verktyg samt hanterar dokumentation. Med den strategiska nivån menas typiskt sett den högsta ledningen. Ansvar på denna nivå inkluderar ofta beslut av policyn och finansiering av kontinuitetsarbetet. Någon från ledningen bör ges ett övergripande ansvar för kontinuitetshanteringen och för arbetets effektivitet. Beroende på storlek och ambition kan även en styrgrupp tillsättas för den strategiska ledningen av kontinuitetshanteringen. Den operativa nivån är de individer som ansvarar för och arbetar i de konkreta verksamhetsdelar som kontinuitetshanteringen söker upprätthålla. Dessa personer genomför analys av verksamheten, utvecklar kontinuitetslösningar och -planer för sina områden, samt genomför tester och övningar. Dessa personer bör ha en hög kompetens avseende kontinuitetshantering inom sitt område. Strategisk I policyn fördelas roller och ansvarsområden, bland annat genom att klargöra frågor som vem som äger processen för kontinuitetshantering samt vilka resurser som finns att tillgå för att implementera kontinuitetshantering. Roller och ansvar delas ofta in i strategisk, taktisk, och operativ nivå. Individer som tilldelas ansvar och roller bör ha tillräcklig kompetens och bör ha genomgått relevant utbildning. Kontinuitetspolicyn behöver också vara förankrad på samtliga nivåer för att säkerställa gemensamma förväntningar och målsättningar med kontinuitetsarbetet. TIPS FÖR GENOMFÖRANDE Tänk på att organisationens ledning ansvarar för att tillräckligt ansvar och tillräckliga befogenheter tilldelas och delegeras för att säkerställa att övriga delar av kontinuitetsarbetet ska kunna upprätthållas. Ansvar och arbetsuppgifter bör göras formellt tydliga genom att de skrivs in i respektive ansvarig persons arbetsbeskrivning. Ledningen bör också säkerställa att de får regelbunden rapportering avseende kontinuitetshanteringen. Taktisk Operativ Tillbaka Fortsätt Gå till huvudmeny Fler tips 

19         Styrande dokument
Verksamhetsledningen står typiskt sett för den strategiska inriktningen, vilket även kompletteras av en eventuell styrgrupp. Nyttan av en styrgrupp är oftast tydligare hos större organisationer, där kontinuitets-hanteringen också är mer omfattande. Utförande verksamhet är den operativa personal som ansvarar för processer och system i olika verksamhetsdelar. En ansvarig för stöd till verksamhetens kontinuitetsarbete utgörs av den taktiska nivån för koordinering och stöd. Verksamhetsledning Compliance och kontroll är den funktion som utvärderar kontinuitetshanteringen kopplat till mål samt regelefterlevnad. Det är av vikt att policyn tydliggör roller och ansvar gällande de olika slutprodukter som kommer ut av kontinuitetsarbetet. Detta kan inkludera vem som ansvarar för respektive dokument, med vilken frekvens det ska uppdateras, vilken målgrupp det har samt var det finns sparat. Exempel på hur denna information kan struktureras i policyn ges i tabellen Styrgrupp för kontinuitetshantering Compliance och kontroll Exempel på hur roller och ansvar för kontinuitetshantering kan organiseras återges i diagrammet och tabellen. Beroende på organisationens storlek och behov inom kontinuitetshantering kan nivåerna och ansvariga funktioner se olika ut. Ansvarig för stöd till verksamhetens kontinuitetsarbete Utförande verksamhet Tillbaka Fortsätt Gå till huvudmeny

20   TIPS FÖR GENOMFÖRANDE
Utveckling av kriteriemodellen utförs med fördel genom en workshop, en eller två halvdagar (ge tillräckligt med tid för förankring och beslut) Viktigt att kriteriemodellen förankras inom hela ledningen – Involvera representanter från ledningen som har insyn i hela organisationen och har mandat att fatta beslut Vid val av konsekvenskategorier, utgå ifrån vad som är viktigt för den aktuella organisationen Vid beskrivning av konsekvenserna för respektive nivå, börja med beskrivning av konsekvenserna på den mest kritiska nivån Tänk på att samtliga beskrivningar ska vara mätbara Efter att kriteriemodellen är ifylld, ”kalibrera” respektive kolumn Utgå från befintlig modell, t.ex. från riskhantering eller fastställd riskaptit Inkludera kriteriemodell i styrande dokument, t.ex. policy Säkerställ kännedom och gemensam tolkning Styrande dokument Vad är Konsekvenskategori? Vad är Konsekvensnivå? Vilka konsekvenser som organisationen anser vara acceptabla beskrivs genom konsekvensklasser (obetydlig, märkbar, allvarlig). Här kan även ett större annat antal klasser användas, t.ex. genom att använda nivåerna obetydlig, märkbar, allvarlig och katastrofal. Därefter beskrivs var gränsen för vad som är acceptabelt går. I exemplet nedan är gränsen för vad som är acceptabelt angiven med den svarta linjen mellan nivåerna märkbar och allvarlig. Vilka konsekvenser som organisationen anser vara acceptabla beskrivs genom konsekvenskategorier (exempelvis ekonomi och rykte/varumärke) definieras. I exemplet används tre konsekvenskategorier. Kriteriemodellen kan även ange ett större annat antal klasser om det skulle anses lämpligt, exempelvis regelefterlevnad. Vidare kan olika konsekvens-kategorier vara relevanta endast för specifika delar av verksamheten. I policyn fastställs även typer av avbrott och konsekvenser som ska motverkas - typiskt sett sker fastställs detta med stöd av en s.k. kriteriemodell. Kriteriemodellen anger och specificerar kriterier för vad som är acceptabelt och vad som är oacceptabelt – I analys av kritiska processer används modellen för att fastställa maximalt tolerabla avbrottsperioder och mål för återställningstider Tillbaka Fortsätt Gå till huvudmeny Fler tips 

21 3. Analys av verksamheten
1. Introduktion till kontinuitetshantering 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 3. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 3. Analys av verksamheten 7. Utbildningsquiz

22 Varför gör vi detta steg?
Analys av verksamheten Varför gör vi detta steg? HUR GÖR VI DETTA STEG? Detta steg är typiskt sett det som är mest tidskrävande för personer i den operativa verksamheten. Generellt så kan följande upplägg användas vid genomförande: Urval av processer utifrån befintliga styrande dokument eller genom workshop med personer med tillräckligt mandat Konsekvensanalys i workshopformat för respektive identifierad kritisk process Riskbedömning i workshopformat för identifierade kritiska resurser Kompletterande intervjuer, enkäter, mailutskick vid behov. VAD GÖR VI I DETTA STEG? Verksamhetens kritiska processer fastställs, med utgångpunkt i organisationens mål Konsekvensanalysen bryter ned processen i underliggande aktiviteter och resursberoenden, samt fastställer maximala avbrottstider i processen Riskbedömningen identifierar de mest angelägna riskerna mot kontinuiteten i processen och hur väl rustad organisationen är att hantera riskerna, t.ex. genom redundans eller reservlösningar VARFÖR GÖR VI DETTA STEG? Analysen genomförs för att förstå verksamheten på djupet i termer av vad som är kritiskt och hur kritiskt det är. Förståelsen för beroenden, kritikalitet, sårbarheter, m.m. är nödvändigt för att veta vilka prioriteringar som behöver göras och hur planering kan göras för att säkerställa kontinuitet, t.ex. med hjälp av mer konkreta strategier, lösningar, kontinuitetsplaner, m.m. Vad gör vi i detta steg? Hur gör vi detta steg? Tillbaka Fortsätt

23     Analys av verksamheten
KRITISK PROCESS KRITISKA AKTIVITETER INTERNA RESURSER Analys av verksamheten Konsekvensanalysen kan dokumenteras i en karta likt nedan, en karta per process EXTERNA RESURSER De processer som behövs för att organisationen ska kunna bedriva sin mest centrala verksamhet. Kan även benämnas, affärskritiska, verksamhetskritiska eller väsentliga processer. En process är en kedja av sammanhängande aktiviteter som utifrån en viss resursinsats producerar ett resultat. Exempel på kritiska processer kan vara utlåning, skadehantering, orderhantering, m.m. De kritiska processerna bryts ned i aktiviteter, där aktiviteterna behövs för att den kritiska processen ska kunna tillhandahållas. Detaljeringsgraden för hur aktiviteter definieras kan ges stöd av hur komplexa avbrotts- och återgångsrutiner som aktiviteten har och om olika moment inom aktiviteten är olika tidskritiska. Resurser identifieras som behövs för att aktiviteterna ska kunna utföras. Interna resurser är sådana som ägs och förvaltas av den egna organisationen och kan vara exempelvis personer, färdigheter, teknik (t.ex. anläggning och utrustning), lokaler, förråd och information (elektronisk och annan). Externa resurser är sådana som ägs och förvaltas av utanför organisationen och kan vara av samma typ som de interna resurserna. Externa resurser anges typiskt sett som leverantörsnamn eller som leverantör av en särskild tjänst, produkt, etc. Vanliga externa resurser är leverantörer av IT, el, telefoni, internet, m.m. Tillbaka Fortsätt Gå till huvudmeny

24     TIPS FÖR GENOMFÖRANDE
KRITISK PROCESS KRITISKA AKTIVITETER INTERNA RESURSER Analys av verksamheten Ett exempel på beroendekartläggning återges i kartan nedan TIPS FÖR GENOMFÖRANDE Börja hellre med få ”breda” aktiviteter än att dela upp dem för detaljerat Tänk på att beskriva aktiviteterna i form av ”vad som görs”, beskriv gärna som hela meningar inledningsvis för att komma igång Är det ett tydligt flöde, beskriv även aktiviteterna i denna form, om inte, gruppera istället efter leveransområde eller typ av tjänst Notera vid behov kommentarer (t.ex. vad som ingår i aktiviteten) Ta en aktivitet i taget och identifiera de interna och externa resurser som behövs för att genomföra aktiviteten Resurser som hänger ihop och är lika tidskritiska kan grupperas i kartan, tänk då på att skriva en kommentar om vad som ingår i resursen EXTERNA RESURSER Den kritiska processen Skadehantering har identifierats utifrån ett försäkringsbolags mål och krav. Processen bedöms vara en relevant avgränsning av samling värdeskapande aktiviteter för organisationen Skadehantering Organisationen bryter ned processen i aktiviteterna 1-3. Om en aktivitet innefattar moment som har olika lösningar vid avbrott och/eller är olika tidskritiska, så bör den delas upp i olika aktiviteter. 1. Skadehantering på plats 2. Skadereglering och information återförsäkrare 3. Utbetalning och uppföljning Organisationen identifierar interna resurser som krävs för att genomföra varje aktivitet och anger med numrering vilken/vilka aktiviteter resursen stödjer. Eventuella beroenden mellan resurser kan markeras med pilar. 1-3 Skadehanterings- system 1-2 Skadereglerare 2-3 Administrativ personal Lokal Organisationen identifierar externa resurser som krävs för att genomföra varje aktivitet och anger med numrering vilken/vilka aktiviteter resursen stödjer. Eventuella beroenden mellan resurser kan markeras med pilar. 1-3 IT-drift 2-3 Återförsäkrare Telefoni El Internet Tillbaka Fortsätt Gå till huvudmeny Fler tips 

25     TIPS FÖR GENOMFÖRANDE
KRITISK PROCESS KRITISKA AKTIVITETER INTERNA RESURSER Analys av verksamheten Ett exempel på konsekvensanalys återges i kartan nedan EXTERNA RESURSER TIPS FÖR GENOMFÖRANDE För varje aktivitet ställs frågan ”Hur länge kan aktiviteten ligga nere innan något av kriterierna i de röda kolumnerna uppfylls”, den tid som är svaret på frågan är den maximalt tolerabla avbrottstiden för den aktuella aktiviteten Notera motivering för satta tidskrav Tänk på att mäta mot samtliga konsekvenskategorier i kriteriemodellen och fastställa tidskravet baserat p å den kategori som ger kortast tid Om konsekvenserna av ett avbrott varierar beroende på när det inträffar ska tidskravet utgå från ett avbrott under den mest kritiska perioden Hur fastställs tiderna? När kritiska aktiviteter, interna och externa resurser identifierats är nästa steg att definiera hur långa avbrott som kan tolereras i respektive aktivitet (maximalt tolerabel avbrottsperiod). För detta används den tidigare utvecklade kriteriemodellen. Aktivitetens maximalt tolerabla avbrottsperiod avgör vilket mål för återställningstid som ställs på respektive resurs som stödjer aktiviteterna. Skadehantering Organisationen har med stöd av kriteriemodellen bedömt att oacceptabla konsekvenser uppstår inom något av modellens områden efter ett avbrott på 24 timmar för aktivitet 1, efter 2 dagar för aktivitet 2 och efter mer än 5 dagar för aktivitet 3. 1. Skadehantering på plats 2. Skadereglering och information återförsäkrare 3. Utbetalning och uppföljning 24 h 2 dagar >5 dagar 1-3 Skadehanterings- system 1-2 Skadereglerare 2-3 Administrativ personal Lokal 24 h 2 dagar Organisationen noterar att de interna resurserna behöver kunna uppfylla tidskraven för samtliga aktiviteter som stöds. En resurs måste förhålla sig till det kortaste tidskravet om resursen stödjer fler än en aktivitet 1-3 IT-drift 2-3 Återförsäkrare Telefoni El Internet 24 h 2 dagar Organisationen noterar att de externa resurserna behöver kunna uppfylla tidskraven för samtliga aktiviteter som stöds. En resurs måste förhålla sig till det kortaste tidskravet om resursen stödjer fler än en aktivitet Tillbaka Fortsätt Gå till huvudmeny Hur fastställs tiderna?  Fler tips 

26       TIPS FÖR GENOMFÖRANDE
Analys av verksamheten Riskbedömning kan dokumenteras i en tabell likt nedan TIPS FÖR GENOMFÖRANDE De hot som tas upp syftar till att identifiera olika typer av redundanslösningar, så de kan med fördel grupperas Tänk på att vi bedömer sannolikheten att ett avbrott överskrider återställningstiden (inte sannolikhet att hotet inträffar) Notera utestående frågor, förslag på ytterligare reservlösningar samt övriga kommentarer. Utse gärna ansvarig samt sätt datum när respektive fråga ska vara hanterad. Utgå från/hämta inspiration från befintligt arbete inom riskhantering, incidenthistorik, etc. Börja samla ingångsvärden till kontinuitetsplaner redan i riskbedömningen Hitta lagom antal risker per resurs, med utgångspunkt i komplexitet och riskbild Detta steg ger en djupare förståelse för risker och hot kopplade till de resurser som stödjer kritiska processer. Riskbedömning görs på en mer operativ nivå och är mindre detaljerad än traditionell riskhantering. Analysen avgör om befintliga lösningar är tillräckliga Organisationen analyserar varje kritisk resurs för sig och noterar namnet på resursen och det mål för återställningstid som fastställts i konsekvensanalysen Organisationen beskriver relevanta kontinuitetsrisker, dvs. händelser som kan påverka tillgängligheten hos resursen. Varje risk noteras på en egen rad i tabellen. Organisationen identifierar den befintliga redundansen för resursen, dvs. reservalternativ eller skydd som finns på plats i nuläget om den ordinarie resurser blir otillgänglig. Organisationen anger en inbördes prioritering utifrån var åtgärder bör vidtas och baserat på föregående analyssteg, vilket ger inriktning och beslutsunderlag för efterföljande steg Baserat på risken och befintlig redundans, bedöms sannolikheten för att händelsen orsakar ett avbrott hos resursen som överstiger fastställt mål för återställningstid Organisationen beskriver kontinuitetslösningar där de behövs, samt utser ansvarig och deadline. Analysen ger ingångsvärde till arbetet med strategier och planer Kritisk resurs (Mål för återställningstid) Händelser som kan påverka resursens tillgänglighet Befintlig redundans Sannolikhet att avbrott överstiger mål för återställningstid Låg Medel Hög Prioritet Kommentar Finns reservkraft samt diesel för 3 dagars drift Viktigt med löpande test av reservkraft (ansvar: kontorschef) Elavbrott X 3 Utred möjliga redundanslösningar (ansvar: IT-chef, klart: innan årsskiftet) Skadehanterings-system (24 h) Internet ligger nere Ingen redundans finns X 1 Skadlig kod gör systemet otillgängligt Antivirusprogram finns, oklart om tillräckligt Se över befintlig redundanslösning (ansvar: IT-chef, klart: innan årsskiftet) X 2 Tillbaka Fortsätt Gå till huvudmeny Fler tips 

27 4. Kontinuitetsstrategi
1. Introduktion till kontinuitetshantering 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 4. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 4. Kontinuitetsstrategi 7. Utbildningsquiz

28 Varför gör vi detta steg?
Kontinuitetsstrategi Varför gör vi detta steg? VARFÖR GÖR VI DETTA STEG? Övergripande kontinuitetsstrategier tas fram för säkerställa prioritering och inriktning av aktiviteter och resurser fungerar inom de uppsatta tidskraven. Kontinuitetsstrategier tjänar främst ett syfte vid storskalig kontinuitets-hantering. Om kontinuitetsarbetet inleds på en liten del av verksamheten eller på lokal nivå kan strategier tas fram först senare i arbetet VAD GÖR VI I DETTA STEG? Kontinuitetsstrategier utgör gemensamma principer, ofta i form av olika parametrar, för att säkerställa kontinuitet: Strategierna utifrån ett före-, under-, och efter-perspektiv En lämplig struktur för en strategimodell, exempelvis guld, silver, brons, alternativt liten, stor, avgörande betydelse Beroende på hur kritiska resurser är, kan de sedan sorteras in under lämpliga strategier Innan beslut om strategier, så genomförs kostnad-nytto-analyser HUR GÖR VI DETTA STEG? Strategierna bör formuleras på strategisk nivå och av de som har mandat att fatta beslut kring hur personella och finansiella resurser ska fördelas. Generellt så kan följande upplägg användas vid genomförande: Initial diskussion i workshopformat Vid behov revidera efter analyser av processer, resurser och beroenden, samt kostnad-nytto-analys Fastställda strategialternativ, som inriktning för prioritering, kan t.ex. inkluderas i styrande dokument såsom policy Vad gör vi i detta steg? Hur gör vi detta steg? Tillbaka Fortsätt

29 Före en störning Under en störning Efter en störning
Kontinuitetsstrategi Kontinuitetsstrategier formulerar grundläggande principer för hur kontinuitetskraven ska mötas. Nedanstående perspektiv bör beaktas vid identifiering. Före en störning Under en störning Efter en störning Strategier för att förebygga sannolikheten för oönskade händelser inträffar. Exempel: att överföra risken till tredje part, till exempel genom outsourcing. I de flesta fall kvarstår dock ansvaret. Andra exempel är diversifiering av verksamhetens kritiska processer genom att ha dem uppdelade på flera platser. Strategierna kan också innebära avslut eller ändring av ursprungsgenomförandet av de kritiska aktiviteterna. Denna typ av strategi kan dock medföra nya risker, exempelvis i form av minskat förtroende, ökad arbetsbelastning för personal eller ökade kostnader för. Strategier för att skapa så små avbrott som möjligt i verksamheten under en störning. Exempel: att tillfälligt flytta kritiska aktiviteter eller resurser till annan plats, möjligheter för personal att arbeta hemifrån, reservkapacitet (t.ex. reservkraft), skala upp/ner vissa tjänster vid störningar i andra tjänster eller att göra omprioriteringar, t.ex. att skifta personal/resurser från mindre kritisk verksamhet till mer kritisk. kompetensspridning på flera individer, skaffa en outsourcing-partner eller att lagerhålla kritiska resurser, att arbeta enligt alternativa metoder under en begränsad tid, t.ex. manuella rutiner vid störningar i IT-system, m.m. Strategier för att minska konsekvenserna av en störning efter att den inträffat. Exempel: tecknande av försäkringar, vilket främst kan ge finansiell kompensation vid en oönskad händelse. Det täcker dock sällan hela den ekonomiska förlusten eller minskat marknadsvärde eller tappat förtroende. Ett annat exempel kan vara upprättandet av en effektiv kommunikationsorganisation för att minska negativ spridning av information om organisationen vid en störning. Tillbaka Fortsätt Gå till huvudmeny

30 System och IT-infrastruktur
Kontinuitetsstrategi Kontinuitetsstrategier kan formuleras utifrån resurstyp. Nedanstående beskrivning ger exempel på områden att beakta i kontinuitetsstrategier som utvecklas. Personal Lokaler System och IT-infrastruktur Leverantörer Identifiering av kompetenser och kunskaper Dokumentation av nyckelpersoner och ansvarsområden Listning av kompetens-utveckling och övningsbehov Antal, storlek, geografisk spridning Personalens möjligheter att flytta mellan anläggningar Backup Supportavtal Alternativa tillvägagångssätt Avtal med flera leverantörer Redundans-/kontinuitetskrav på leverantörer Bötesklausuler i avtal med leverantörer Tillbaka Fortsätt Gå till huvudmeny

31    TIPS FÖR GENOMFÖRANDE
Kontinuitetsstrategi Implementering av kontinuitetsstrategier kan medföra ökade kostnader som måste vägas mot nyttan de förväntas innebära. Kostnad Nytta Kostnader för anskaffandet av redundant utrustning upprättandet av avtal med ytterligare leverantörer Högre kostnader ju kortare mål för återställningstid Nyttor i form av systematiskt arbete med kontinuitetshantering möjliggör för organisationen att optimera sina investeringar i robusthet för den kritiska verksamheten. redundans- och säkerhetsbrister identifieras i analysen TIPS FÖR GENOMFÖRANDE När det gäller händelser som har en mycket låg sannolikhet bör ROI- värdet ses som ett sätt att värdera alternativa lösningar jämfört med varandra, och inte tolkas bokstavligen. I kostnad-nyttoanalysen behöver också tidsaspekten beaktas, nämligen inom hur lång tid den implementerade strategin beräknas ha effekt jämfört med hur stor sannolikheten för en oönskad händelse är. Kostnad-nyttoanalys Analysen identifierar resurser där redundansen är oproportionerligt hög jämfört med hur kritiska de är för verksamheten – insatser optimeras. Beräkning av ROI (return on investment) för investeringar) för strategier som syftar till att minska sannolikheten för oönskade händelser kan nyttan beräknas genom att estimera minskningen i sannolikhet multiplicerat med konsekvenserna störningen förväntas ha i termer av kostnader. För strategier som syftar till att minska konsekvenserna kan nyttan beräknas på liknande sätt, genom att multiplicera minskningen av konsekvenser i termer av kostnader med sannolikheten för den oönskade händelsen. Tillbaka Fortsätt Gå till huvudmeny Fler tips 

32 Kontinuitetsstrategi
Implementering av kontinuitetsstrategier kan medföra ökade kostnader som måste vägas mot nyttan de förväntas innebära. Ett sätt att besluta om vilka strategier som ska implementeras och hur dessa ska riktas kan vara att gruppera resurserna enligt deras mål för återställningstid, där de med kortast tidskrav är de mest kritiska. Strategierna ger på så vis en inriktning för processansvariga i arbetet med att utveckla med konkreta kontinuitetslösningar i händelse av avbrott. I exemplet finns strategier riktade mot revidering av underlag samt krav på eskalering och rapportering. Utifrån denna strategi kan exempelvis beslut rörande investeringar och verksamhetsinriktning fattas. Tillbaka Fortsätt Gå till huvudmeny

33 3. Analys av verksamheten 4. Kontinuitetsstrategi
5. Kontinuitetsplaner 1. Introduktion till kontinuitetshantering 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 5. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 5. Kontinuitetsplaner 7. Utbildningsquiz

34 Varför gör vi detta steg?
Kontinuitetsplaner Varför gör vi detta steg? VAD GÖR VI I DETTA STEG? Kontinuitetslösningarna beskrivs ofta som ett antal checklistor med tydliga beskrivningar av vad som ska göras, vem som ska utföra detta, hur det ska genomföras och när. Planerna beskriver kontinuitetslösningarna i form av operativa åtgärdslistor/checklistor samt kompletterande information i form av: Reservrutiner Återställningsrutiner Återgångsrutiner Roller, individer och ansvar Dokumentägare Kontaktuppgifter till relevanta personer HUR GÖR VI DETTA STEG? Kontinuitetsplaner utarbetas lämpligast i workshop- och/eller intervjuformat, i regel med samma deltagare som vid workshop för konsekvensanalys och riskbedömning: Utifrån resultatet från workshopen kan kompletterande information behöva inhämtas, exempelvis från andra befintliga planer eller specialistkompetens. VARFÖR GÖR VI DETTA STEG? För att upprätthålla kontinuitet vid avbrott, så behövs konkreta och användbara kontinuitetsplaner Kontinuitetsplanerna aktiveras vid behov för att kunna upprätthålla kritiska processer och möjliggöra för en snabb återgång till normal verksamhet. Vad gör vi i detta steg? Hur gör vi detta steg? Tillbaka Fortsätt

35 Finansinspektionens föreskrifter
FSPOS Vägledning Beredskapsplan I Finansinspektionens föreskrifter ställs krav om att olika planer upprättas och testas kontinuerligt. Av dessa motsvarar kontinuitetsplan och återställningsplan tillsammans det som benämns som kontinuitetsplan i FSPOS Vägledning och i ISO 22301 Kontinuitetsplan Kontinuitetsplan Återställningsplan ISO 22301 Återhämtningsplan Kontinuitetsplan Beredskapsplan relaterar närmare till krishantering än till kontinuitetshantering och är en plan som beskriver de åtgärder ett företag ska vidta för att hantera allvarliga och omfattande avbrott, störningar eller kriser. (FFFS 2014:4) Kontinuitetsplan relaterar till kontinuitetsplan och återställningsplan i FI:s föreskrifter. Planen innehåller dokumenterade rutiner som vägleder en organisation att efter avbrott reagera, återställa och återuppta verksamheten i en i förväg definierad omfattning. Kontinuitetsplan relaterar till kontinuitetsplan och återställningsplan i FI:s föreskrifter. Planen beskriver detaljerade kontinuitetslösningar, för var och en av de kritiska resurserna, i form av checklistor för de tre delarna: Reservrutiner - Hur arbetar vi på alternativa sätt under ett avbrott? Återställningsrutiner - Hur återställer vi den kritiska resursen efter ett avbrott? Återgångsrutiner - Hur återgår vi till normalläge då den kritiska resursen är tillgänglig igen? Återställningsplan relaterar till kontinuitetshantering och är en plan som beskriver enligt vilka prioriteringar och rutiner ett företag ska återgå till normal verksamhet efter ett avbrott eller en större verksamhetsstörning. (FFFS 2014:4) Kontinuitetsplan relaterar till kontinuitetshantering och är en plan som beskriver hur en verksamhet ska upprätthållas i händelse av ett avbrott eller en större verksamhetsstörning. (FFFS 2014:4) Återhämtningsplan relaterar mer till finansiell återhämtning än kontinuitetshantering. Ett företag ska ta en återhämtningsplan för återställande av sin finansiella ställning efter en kraftig försämring. (ändringsförfattning till FFFS 2014:1) Tillbaka Fortsätt Gå till huvudmeny

36      Kritisk resurs: Kontorslokal
Kontinuitetsplaner Kontinuitetslösningar dokumenteras i kontinuitetsplaner. Nedanstående beskrivningar ger ett förenklat exempel på innehåll i en plan. Exemplet utgår från resursen kontorslokal, som har identifierats som kritisk i steget Analys av verksamheten. Där fastställdes även resursens mål för återställning till 8 timmar. Kontinuitetsplanen beskriver hur kontinuitet hos resursen säkerställs inom återställningstiden För var och en av de kritiska resurserna beskrivs detaljerade kontinuitetslösningar. Dessa kan beskrivas i form av reservrutiner (hur arbetar vi på alternativa sätt under ett avbrott?), återställningsrutiner (hur återställer vi den kritiska resursen efter ett avbrott?) samt återgångsrutiner (hur återgår vi till normalläge då den kritiska resursen är tillgänglig igen?). För respektive åtgärd behöver också nödvändig kontaktinformation roll- och ansvarsfördelning beskrivas. I inledningen av planen ska det finnas beskrivet under vilka omständigheter planen ska aktiveras och hur detta ska ske. Kritisk resurs: Kontorslokal Mål för återställningstid: 8 timmar TIPS FÖR GENOMFÖRANDE Tänk på att beskriva kontinuitetslösningarna så konkret som möjligt, och med sådan detaljnivå att de lätt kan förstås av samtliga berörda Tänk på att beskriva såväl hur kontinuiteten i identifierade kritiska resurser ska upprätthållas, hur resursen återställs vid störningar samt hur återgång till normalläge ska ske då resurserna åter fungerar som normalt Utse en person som är ansvarig för kontinuitetsplanen och därmed ansvarar för att uppdateringar görs, benämn gärna med funktion istället för namn Det är viktigt att kontinuitetslösningarna är specifika och detaljerade i beskrivningarna för att planen ska kunna användas operativt under en störning. Viss flexibilitet behövs dock för att kunna svara mot oväntade hot samt förändrade interna och externa förhållanden. Reservrutin: ”Flytt till reservlokal” Återställningsrutin: Resursansvarig beslutar om flytt Respektive chef informerar sina medarbetare Resursansvarig kontaktar ansvarig för reservlokal och informerar om flytten, kontaktuppgifter finns i bilaga 1 Rutinbeskrivning för hur flytten sker och vilka särskilda rutiner som gäller under vistelsen på den nya platsen finns i bilaga 2 Kontakta hyresvärd och informera om problemet Håll löpande kontakt med hyresvärd som informerar om status på återställningen av lokalerna Informera anställda om när lokalerna beräknas vara tillgängliga Återgångsrutin: Nödvändiga kontaktuppgifter: Resursansvarig beslutar att flytta tillbaka Respektive chef informerar sina medarbetare Rutinbeskrivning för hur flytt till ordinarie lokaler sker och vilka särskilda aktiviteter som ska utföras (se bilaga 3) Ansvarig för reservlokal (se bilaga 3) Hyresvärd (se bilaga 3) Tillbaka Fortsätt Gå till huvudmeny Fler tips 

37     Kritisk resurs: Datorer Mål för återställningstid: 2 timmar
Kontinuitetsplaner Kontinuitetslösningar dokumenteras i kontinuitetsplaner. Nedanstående beskrivningar ger ett förenklat exempel på innehåll i en plan. Kritisk resurs: Datorer Mål för återställningstid: 2 timmar Reservrutin: ”Använd manuella rutiner” Återställningsrutin: Prioritera arbetsuppgifterna. Vid behov, stäm av prioritering med närmsta chef Dokumentera genomförda transaktioner enligt manuella rutiner (se bilaga 2) Ta nödvändiga kontakter via telefon istället för via mail (se bilaga 3) Kontakta hårdvaruleverantör som enligt avtal reparerar/levererar ny utrustning inom mål för återställningstid Återgångsrutin: Nödvändiga kontaktuppgifter: För in manuell dokumentation digitalt Viktiga intressenter (se bilaga 3) Hårdvaruleverantör (se bilaga 3) Tillbaka Fortsätt Gå till huvudmeny

38 3. Analys av verksamheten 4. Kontinuitetsstrategi
6. Upprätthålla 1. Introduktion till kontinuitetshantering 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 6. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 6. Upprätthålla 7. Utbildningsquiz

39 Varför gör vi detta steg?
Upprätthålla Varför gör vi detta steg? VARFÖR GÖR VI DETTA STEG? Arbetet med kontinuitetshantering behöver kontinuerligt upprätthållas och förbättras. När kontinuitetshanteringen har implementerats, så behöver den förvaltas, följas upp och stärkas. Upprätthållandet är därmed en del av ett naturligt förbättringsarbete, men även ett sätt att anpassa lösningar efter behov och förutsättningar t.ex. när förändringar sker i organisationen eller dess omvärld. VAD GÖR VI I DETTA STEG? En del av upprätthållande handlar om granskning och revidering av dokument, t.ex. policy, genomförda analyser och utvecklade kontinuitetsplaner. Upprätthållande handlar även om mjukare frågor som kultur, kunskap och förmåga inom kontinuitetshanteringen, vilket innefattar bl.a. utbildningar och övningar för att öka förståelsen och förmågan i organisationen. HUR GÖR VI DETTA STEG? Drivande i upprätthållandet är inte sällan en kontinuitetsansvarig som skapar och följer upp så att översyn sker. Den kontinuitetsansvariga är ofta även ansvarig för program för övning, utbildning och medvetenhet, förvaltning av mallar, fördelning av uppgifter och ansvar, m.m. Vad gör vi i detta steg? Hur gör vi detta steg? Tillbaka Fortsätt

40 Organisationsförändringar
Upprätthålla TIPS FÖR GENOMFÖRANDE Hur organisationen avser genomföra granskning och revidering beskrivs med fördel i relevant styrande dokument, såsom policy, instruktion, eller liknande. Revideringar kan till exempel göras för de styrande dokumenten eller i analys av verksamheten då större förändringar skett. Granskning bör inte bara göras reaktivt vid identifierade förändringar utan även vid återkommande tillfällen och kontinuerligt, exempelvis årligen eller halvårsvis. Tänk på att revideringar av exempelvis styrande dokument, såsom kriteriemodellen, leder till att revideringar i de efterföljande stegen i kontinuitetshanterings­processen måste genomföras. Andra exempel på orsaker till revidering kan vara förändrade prioriteringar, strategin är inte hållbar, mer övning eller utbildning behövs, programmet för kontinuitetshantering är ineffektivt, m.m. Granskning och revidering behövs för att kontinuitetsarbetet ska vara relevant och tillämpligt. Nedanstående områden bör vara vägledande. Omvärldsbevakning Vid större förändringar i verksamheten, som nya IT-system, organisationsförändringar eller byte av leverantörer, bör en revidering göras. Utvärdering av inträffade incidenter kan också användas som underlag inför revidering. Omvärlden är i ständig förändring, det är därför av vikt att regelbundet granska och revidera kontinuitetsarbetet för att säkerställa att kontinuitetsstrategier, -lösningar och -planer är tillämpliga. Exempelvis kan kunder, konkurrenter, leverantörer eller lagstiftare ställa nya krav på kontinuitetshantering Revision och granskning kan genomföras både av interna och externa parter. Det bör, i de interna rutinerna, finnas en process för hur regelbundna interna granskningar ska ske. Det bör också vara tydligt definierat hur resultat från granskningar ska tillvaratas. Behov av revideringar kan identifieras i samband med övningar, då exempelvis kontinuitetsplaner övas. Behov av följdändringar kan då behöva göras i bland annat rutinbeskrivningar, kontaktuppgifter eller roller och ansvar, m.m. Organisationsförändringar Resultat av övningar Revisionsrapport Tillbaka Fortsätt Gå till huvudmeny Fler tips 

41 Upprätthålla Utbildning om kontinuitetshantering är en viktig del i upprätthållandet. Nedanstående frågor kan vara bra att beakta. Utbildning bör ske på olika nivåer i organisationen med olika syften. Utbildningen ska vara anpassad till den roll som deltagaren kommer att ha i organisationen, exempelvis: Grundutbildning – ”för kännedom” För medarbetare som inte är direkt involverade i kontinuitetshanteringsarbetet, räcker det med kortare utbildning i syfte att informera om området, varför det genomförs, samt hur det kommer att påverka dem i deras dagliga arbete. En sådan utbildning kan omfatta så lite som 1 timme till några timmar. Fördjupad utbildning – ”för metodstöd” För vissa, exempelvis för de som ska arbeta aktivt i och ha ett ansvar för kontinuitetshanteringsprocessen, behövs djupgående och längre utbildningar som syftar till att förklara metoder och tillvägagångssätt. Ytterligare personer behöver kanske utbildas för att så småningom kunna utbilda själva. Sådana utbildningar kan omfatta halv-/ heldagsutbildningar eller flera återkommande utbildningstillfällen. Tillbaka Fortsätt Gå till huvudmeny

42       TIPS FÖR GENOMFÖRANDE
Upprätthålla Övning och test av kontinuitetsplaner görs för att säkerställa att kontinuitetskraven kan uppfyllas. Nedanstående former och mål kan vara vägledande. Övningsformer Beroende på organisationens vana av att arbeta med kontinuitetshantering samt tidigare erfarenheter av att öva kan och bör övningarnas komplexitet anpassas. För mer erfarna övningsdeltagare kan en simuleringsövning vara lämplig. En sådan övning har ofta ett mer testande fokus och deltagarna ska, utifrån ett scenario, agera enligt de rutiner och instruktioner som finns. Sådana övningar tenderar att kosta mer och vara mer komplexa, men möjliggör mer verifikation och tenderar att ge större effekt. Skarpa övningar och tester kan exempelvis göras för manuella rutiner eller för flytt till reservlokal. Tester av lösningar gällande system kan göras på olika sätt, exempelvis kan ”fail over” (automatisk övergång till ett annat redundant system då ordinarie system är ur funktion) testas genom att stänga ner ordinarie system och se om reservrutinen fungerar. TIPS FÖR GENOMFÖRANDE Övningar kan syfta till att testa olika saker och kan därför också utformas på olika sätt: Tester kan genomföras som test av enskilda kontinuitetslösningar eller att i form av en övning testa kontinuitetslösningarna för en hela eller delar av organisationen. Dokumentationen kan vara i form av testprotokoll eller övningsrapporter. Resultaten från övningar och tester kan dessutom leda till revidering av kontinuitetsarbetet. Testa och öva implementerade kontinuitetsplaner regelbundet Optimera testresurserna genom att variera omfattning och frekvens beroende av hur kritisk processen/resursen är för verksamheten För oerfarna övningsdeltagare lämpar sig så kallade skrivbordsövningar bäst. I sådana övningar övas deltagarna främst genom att diskutera olika typer av ageranden utifrån ett givet scenario, exempelvis inriktat mot en eller flera planer eller rutiner. Övningsformen är framför allt lärande och deltagarna ges möjlighet att reflektera och diskutera i lugn och ro. Formen tenderar att vara relativt mindre komplex och följaktligen mindre kostsam. Skrivbordsövningar Simuleringsövningar Exempel på målområden Testa teknik och infrastruktur Är det rätt personal som är involverad – kompetens, förmåga, beslutsrätt? Utveckla individers och gruppers förmåga Testa förmågor under press Fungerar teknik och infrastruktur? Fungerar våra reservrutiner? Har vi tillgång till rätt lokaler, utrustning och teknik? Är medvetandenivån tillräckligt hög i organisationen? Utveckling av kännedom om eskaleringsrutiner och helheten av organisationens kontinuitetsarbete? Går tidskraven att möta? Är befintliga logistik-/leverantörslösningar tillräckliga? Behöver något i våra rutiner justeras? Öka kompetens bland personalen Testa uppsatta tidskrav Öka medvetenheten i organisationen Tillbaka Fortsätt Gå till huvudmeny Fler tips 

43 Förändring/Utveckling
Upprätthålla För att uppnå en kontinuitetshanteringskultur krävs, som vid förändringar av alla slag i en organisation, att olika perspektiv beaktas. Genomförande av förändring bygger på en insiktsfull integration av de tre perspektiven, där alla är viktiga för en effektiv implementering i organisationen Det mänskliga perspektivet måste inkluderas, men glöms ofta bort, i förändringsprocesser. Det är viktigt att skapa förståelse bland medarbetare och andra intressenter kring varför och hur förändringen ska genomföras och hur den kan vara värdeskapande för de enskilda individerna. Om förändringen innebär att medarbetare och andra intressenter måste ändra sitt sätt att tänka och göra, så är detta något som inte åstadkoms genom en förändring av organisationen. Människors tankar, känslor och beteende grundar sig i attityder, förhållningssätt och värderingar. Det är detta som måste förändras och genom DIALOG, exempelvis genom utbildning och övning. Det strukturella perspektivet innebär att ta fram instruktioner, system, processer och annat stöd, exempelvis mallar och checklistor, som underlättar arbetet med att nå önskat läge. I de allra flesta förändringsprocesser är förändringen synonymt med förändringen av organisationen – man ritar nya rutor och utser nya chefer. Här ”bränns” säkert 75-80% av all energi och alla resurser. Förhållandevis små effekter ses av dessa insatser. Förklaringen är förmodligen att organisationsförändringar är relativt enkla att besluta om och man har som ledning en hög grad av kontroll. TIPS FÖR GENOMFÖRANDE För att uppnå en kontinuitetshanteringskultur krävs, som vid förändringar av alla slag i en organisation, att de olika perspektiven beaktas. Test, övning och utbildning är av stor betydelse för att skapa en organisationskultur som främjar kontinuitetshantering. Gör arbetssättet känt i organisationen, fördela ett tydligt ansvar. Att ledningen belyser vikten av och tilldelat tillräckliga resurser till arbetet har stor betydelse för upprättandet av en kontinuitetshanteringskultur. Det strategiska perspektivet inkluderar att ledningen fattar ett beslut om önskat läge och tar fram tidplaner och utser ansvariga (t.ex. via kontinuitetspolicy och andra styrande dokument) för att nå dit. Perspektivet överbetonas inte sällan. Ofta tas förståelsen för analysen av nuläget och utmejslingen av önskat läge för givet. När ledningen är klar med sin strategiska process, blir man snabbt ”exekutiv” och vill att mellanchefer och medarbetare ska verkställa. Man avsätter ofta för lite tid och resurser på att få människor att förstå, omfatta och gilla den strategiska analysen och attraktiviteten i det önskade läget. Värderingar Beteende Attityder Mänskligt perspektiv: Analys & beslut Önskat läge Förändring/Utveckling Strategiskt perspektiv: Struktur System/IT Processer Strukturellt perspektiv: Tillbaka Fortsätt Gå till huvudmeny Fler tips 

44 3. Analys av verksamheten 4. Kontinuitetsstrategi
7. Utbildningsquiz Denna avslutande del innehåller en kortare quiz med flervalsfrågor, med utgångspunkt i utbildningens avsnitt 1. Introduktion till kontinuitetshantering 6. Upprätthålla 3. Analys av verksamheten 5. Kontinuitetsplaner 4. Kontinuitetsstrategi 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 7. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka Fortsätt till 7. Utbildningsquiz 7. Utbildningsquiz

45 Fråga 1 22301:2012 Vad heter ISO-standarden för kontinuitetshantering?
JA – ISO är huvudstandarden för kontinuitetshantering. ISO ger ytterligare praktisk inriktning Klicka på ”Fortsätt” för att komma till nästa fråga! NEJ – ISO är standarden för miljöledningssystem – Försök igen! NEJ – ISO är standarden för riskhantering – Försök igen! Vad heter ISO-standarden för kontinuitetshantering? 22301:2012 ISO 31000 ISO 22301 Läs mer i FSPOS Vägledning, avsnitt 1.3. ISO 14001 Tillbaka Fortsätt Gå till huvudmeny

46 Fråga 2 JA – Den taktiska nivån utgör kompetenscentra avseende kontinuitets-hanteringen. Den taktiska nivån består av person/er med övergripande ansvar för att stödja arbetet med kontinuitetshantering. Klicka på ”Fortsätt” för att komma till nästa fråga! NEJ – Med den strategiska nivån menas typiskt sett den högsta ledningen. Ansvar på denna nivå inkluderar ofta beslut av policyn och finansiering av kontinuitetsarbetet – Försök igen! NEJ – Den operativa nivån är de individer som ansvarar för analys av verksamheten, utvecklar kontinuitetslösningar och -planer för sina områden, samt genomför tester och övningar – Försök igen! Vilken nivå inom organisationen utgör ofta kompetenscentra för kontinuitetshantering och koordinerar och stödjer arbetet? Strategisk, taktisk, eller operativ nivå? Läs mer i FSPOS Vägledning, Appendix A.3. Strategisk Taktisk Operativ Tillbaka Fortsätt Gå till huvudmeny

47 Fråga 3 Resursen affärssystem är kritisk för att genomföra aktiviteterna försäljning (8h), leverans (4h) och uppföljning (24h), med maximalt tolerabel avbrottstid (MTPD) inom parentes – vilket mål för återställningstid (RTO) gäller då för affärssystem? NEJ – Resursen behöver dessvärre förhålla sig till ett annat tidskrav (MTPD). Ett annat RTO gäller – Försök igen! NEJ – Resursen behöver dessvärre förhålla sig till ett annat tidskrav (MTPD). Ett annat RTO gäller – Försök igen! JA – Om en resurs stödjer flera aktiviteter, så behöver det kortaste tidskravet (lägsta MTPD) kunna mötas Klicka på ”Fortsätt” för att komma till nästa fråga! 4 timmar Läs mer i FSPOS Vägledning, Appendix B.2. 8 timmar 24 timmar Tillbaka Fortsätt Gå till huvudmeny

48 Fråga 4 NEJ – Strategierna bör formuleras på strategisk nivå och av de som har mandat att fatta beslut kring hur personella och finansiella resurser ska fördelas. Kontinuitetsplaner upprättas oftast på operativ nivå, av de som har mer specifik kunskap om olika sakområden – Försök igen! JA – Kontinuitetsstrategier sätts på en övergripande nivå och utgör en inriktning för vilka lösningar och åtgärder som ska implementeras. Klicka på ”Fortsätt” för att komma till nästa fråga! Vilken av följande påståenden om kontinuitetsstrategier är korrekt? NEJ – Strategier behöver genomföras efter konsekvensanalysen då de använder denna som ingångvärde för att prioritera olika alternativ för kritiska aktiviteter och resurser – Försök igen! Kontinuitetsstrategier upprättas ofta av de som upprättar kontinuitetsplanerna Kontinuitetsstrategier ger inriktning till kontinuitetslösningar som upprättas Läs mer i FSPOS Vägledning, Appendix C. Kontinuitetsstrategier utgör nödvändiga ingångsvärden till konsekvensanalysen Tillbaka Fortsätt Gå till huvudmeny

49 Fråga 5 Vilken del av kontinuitetsplanen skulle beskriva hur en organisation tillfälligt hanterar kundärenden med excel-dokument vid avbrott, till dess att ett ordinarie kundsystem är åter i drift JA – Reservrutinen beskriver hur organisationen arbetar på alternativa sätt under ett avbrott som gör kundsystemet otillgängligt Klicka på ”Fortsätt” för att komma till nästa fråga! NEJ – Återställningsrutinen beskriver hur organisationen återställer den kundsystemet efter ett avbrott, dvs. hur kundsystemet åter görs funktionellt – Försök igen! NEJ – Återgångsrutinen beskriver hur organisationen återgår till normalläge då kundsystemet är tillgängligt igen – Försök igen! Läs mer i FSPOS Vägledning, Appendix D. Återgångsrutin Återställningsrutin Reservrutin Tillbaka Fortsätt Gå till huvudmeny

50 Fråga 6 NEJ – Skrivbordsövning är en vanlig övningsform. I sådana övningar övas deltagarna främst genom att diskutera olika typer av ageranden utifrån ett givet scenario, exempelvis inriktat mot en eller flera planer eller rutiner – Försök igen! NEJ – Simuleringsövning är en vanlig övningsform som ofta har ett mer testande fokus och deltagarna ska, utifrån ett scenario, agera enligt de rutiner och instruktioner som finns – Försök igen! JA – Beteendeövning är inte en vanlig övningsform som testar kontinuitetsplaner Klicka på ”Fortsätt” för att komma vidare! Vilken av följande är inte en vanlig övningsform för att testa kontinuitetsplaner: beteendeövning, skrivbordsövning eller simuleringsövning?  Beteendeövning Skrivbordsövning Läs mer i FSPOS Vägledning, Appendix E.2. Simuleringsövning Tillbaka Fortsätt Gå till huvudmeny

51 Ytterligare fördjupning på FSPOS.se
Självskattningsformulär för FSPOS Vägledning för kontinuitetshantering kan användas för att värdera huruvida ett antal listade påståenden stämmer in på den egna verksamheten. Självskattningsformuläret kan användas för att enkelt följa upp och värdera det egna kontinuitetsarbetet. Checklistan fylls i igenom att värdera de påståenden som anges. Om skattningar består i ”nej” eller ”delvis” vid valda påståenden bör kontinuitetsarbetet ses över enligt de rutiner som aktören fastställt. FSPOS vägledning för kontinuitetshantering syftar till att tillfredsställa ett behov av metodstöd inom området, genom att beskriva processen för kontinuitetshantering. Här hittar du mer ingående resonemang, mallar och exempel för arbetet med kontinuitetshantering. Vägledningen baseras i huvudsak på den internationella standarden inom kontinuitetshantering; SS-ISO 22301:2012 – Samhällssäkerhet – Ledningssystem för kontinuitet. Appendix F - Kontinuitetshantering för IT-verksamheten beaktar att aktörer i den finansiella sektorn som får avbrott i IT-tjänster drabbas av stora konsekvenser för verksamheten vilket i förlängningen leder till konsekvenser för kunderna. IT-verksamheten är därför en viktig stödfunktion, oavsett om den är intern eller outsourcad till tredje part, och det är viktigt att säkerställa robusthet i denna. Appendix G - Kontinuitetshantering för outsourcad verksamhet riktar sig till samtliga som är involverade i processen för kontinuitetshantering för outsourcad verksamhet. Underlaget kan även användas för att skapa en ökad medvetenhet internt i den egna organisationen om kontinuitetshantering i samband med beslut om outsourcing av verksamhet. Tillbaka Fortsätt

52 Starta utbildningen på nytt
Slut på utbildningen! Starta utbildningen på nytt FSPOS Interaktiva utbildning – Kontinuitetshantering i praktiken Version 1.0, FSPOS AG KON, Fokusgrupp Kontinuitetshantering


Ladda ner ppt "Var god starta presentationen i visningsläge!"

Liknande presentationer


Google-annonser